Säkerhetspodcasten avs.112 - Cyberattacks Against Critical Infrastructure in Ukraine
Lyssna
Innehåll
I dagens avsnitt av Säkerhetspodcasten intervjuar Robin von Post Roman Sologub och Oleksii Yasynskyi om attacker mot kritisk infrastruktur i Ukraina.
Inspelat: 2017-10-24. Längd: 00:25:16.
Länkar
https://cs3sthlm.se/program/presentations/oleksii-yasynskyi-and-roman-sologub/
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:02,600
Hej och välkommen till Säkerhetspodcasten.
2 00:00:03,000 --> 00:00:07,720
Innan vi börjar dagens avsnitt skulle jag vilja tipsa om våra nya fina Säkerhetspodcasten-stickers
3 00:00:07,720 --> 00:00:11,020
som nu finns tillgängliga för alla våra lyssnare helt gratis.
4 00:00:11,680 --> 00:00:15,080
Det enda ni behöver göra för att få dem är att skicka ett frankerat kuvert till
5 00:00:15,080 --> 00:00:22,500
Assured AB Care of Säkerhetspodcasten på adressen Norra Lergatan 7 413 01 Göteborg
6 00:00:22,500 --> 00:00:26,440
så kommer en handfull nya fräscha-stickers som är brev på posten inom ett par dagar.
7 00:00:26,440 --> 00:00:30,480
Det var alltså Norra Lergatan 7 413 01 Göteborg.
8 00:00:31,920 --> 00:00:37,340
Till dagens avsnitt då. Under hösten så har vi på Säkerhetspodcasten haft en reporter i fältet
9 00:00:37,340 --> 00:00:43,660
nämligen den eminente Robin von Post som har bandat en hel drös intervjuer på ett par konferenser i Stockholm.
10 00:00:44,620 --> 00:00:48,280
Vi skulle väldigt gärna vilja tacka Sectra som har lånat ut honom till oss
11 00:00:48,280 --> 00:00:52,600
och vill ni följa Robin så gör ni det enklast på at r von post på Twitter.
12 00:00:53,180 --> 00:00:56,060
Stort tack alltså till Sectra och till Robin.
13 00:00:56,440 --> 00:00:57,600
Nu rullar vi intervjun.
14 00:01:16,920 --> 00:01:24,800
Så jag tror att det här är rätt steg för dig, eller hur? Låt oss börja med att introducera dig själv.
15 00:01:24,800 --> 00:01:25,440
Ja.
16 00:01:26,440 --> 00:01:32,140
In the focus of cyber attacks as well in the focus of those who prevent cyber attacks
17 00:01:32,140 --> 00:01:36,160
and investigate over cyber attacks.
18 00:01:36,400 --> 00:01:40,980
So, yeah, I’m Roman Sologub. I’m CEO at ISSP.
19 00:01:41,820 --> 00:01:47,000
ISSP is a group of companies which are purely focused upon cyber security.
20 00:01:48,020 --> 00:01:55,020
Together with me, Alexey Asinsky. Alexey heads our lab.
21 00:01:55,020 --> 00:01:56,020
So he’s head at ISSP.
22 00:01:56,440 --> 00:02:01,040
ISSP lab. ISSP lab is the jewel in our crown.
23 00:02:01,040 --> 00:02:09,240
ISSP lab is about advanced cyber security services, research and development.
24 00:02:09,240 --> 00:02:13,860
So Alexey is engaged in all cyber forensics that we are conducting.
25 00:02:13,860 --> 00:02:25,640
Alexey leads the research direction and all the new emerging advanced services that we are presenting within our portfolio.
26 00:02:25,640 --> 00:02:26,400
Alexey leads the research direction and all the new emerging advanced services that we are presenting within our portfolio.
27 00:02:26,400 --> 00:02:26,880
Alexey leads the research direction and all the new emerging advanced services that we are presenting within our portfolio.
28 00:02:26,880 --> 00:02:27,380
Alexey leads the research direction and all the new emerging advanced services that we are presenting within our portfolio.
29 00:02:27,380 --> 00:02:28,960
Which are born in our labs.
30 00:02:28,960 --> 00:02:29,680
That’s the heart of the company.
31 00:02:29,680 --> 00:02:31,040
That’s the heart of the company
32 00:02:31,040 --> 00:02:31,960
Let’s start with the talked about information…
33 00:02:32,160 --> 00:02:35,660
And the heart of our knowledge, the center of our knowledge.
34 00:02:35,660 --> 00:02:36,580
And the heart of our knowledge, the center of our knowledge.
35 00:02:36,580 --> 00:02:38,140
Perfect, and…
36 00:02:38,140 --> 00:02:40,740
We will have a special interview here, because Alexey you will be speaking in Russian
37 00:02:40,740 --> 00:02:41,240
We will have a special interview here, because Alexey you will be speaking in Russian
38 00:02:41,240 --> 00:02:43,100
We will have a special interview here, because Alexey you will be speaking in Russian
39 00:02:43,100 --> 00:02:44,300
and you will have a translator
40 00:02:44,700 --> 00:02:46,320
This will be a special interview.
41 00:02:46,320 --> 00:02:48,600
Let’s say it’s authentic.
42 00:02:48,600 --> 00:02:51,380
We will talk about this a little bit specific to what happened in December 2016.
43 00:02:56,400 --> 00:02:59,400
För att förstå vad som skedde i december.
44 00:03:05,400 --> 00:03:10,400
Det var en annan väg av attacker på Ukrainergo, den energibanken i Ukraina.
45 00:03:10,400 --> 00:03:28,400
Så det var inte en ny attack, det var en annan utslutning av attacken som har stannat i flera år.
46 00:03:40,400 --> 00:03:45,400
Vi började förändringen i december, precis efter attacken.
47 00:03:45,400 --> 00:03:49,400
Vi blev officiellt anställda som företag för att förändra förändringen.
48 00:03:49,400 --> 00:03:51,400
Och i februari…
49 00:03:54,400 --> 00:04:03,400
I slutet av januari fick vi rapporten och förändrade förändringen i början av februari.
50 00:04:10,400 --> 00:04:15,400
Nu har vi möjlighet att förändra förändringen och det är viktigt för oss.
51 00:04:40,400 --> 00:04:49,400
Det var en stor utslutning i december 2015 som vi alla har hört om i den här situationen.
52 00:04:49,400 --> 00:04:53,400
Och den senaste kvartalen var det en annan utslutning.
53 00:04:53,400 --> 00:04:56,400
Hur lång tid var denna utslutningen?
54 00:05:02,400 --> 00:05:07,400
Det beror på området i Kyrkoguiden.
55 00:05:07,400 --> 00:05:10,400
Den lade från en halv timme till…
56 00:05:10,400 --> 00:05:12,400
Två timmar.
57 00:05:12,400 --> 00:05:17,400
Så det var fortfarande en liten utslutning i den här situationen?
58 00:05:29,400 --> 00:05:32,400
Ja, vi är lyckliga.
59 00:05:32,400 --> 00:05:37,400
Vi är lyckliga i att vi fortfarande kan röra på manualregimen.
60 00:05:37,400 --> 00:05:39,400
Det är ganska lätt.
61 00:05:39,400 --> 00:05:46,400
Och automatiseringen är inte så djupt i kontrollen för kraftig utslutning.
62 00:05:46,400 --> 00:05:50,400
Så om det skulle vara helt automatiserat, utan manualregimen,
63 00:05:50,400 --> 00:05:53,400
så skulle det vara ett disaster i det fallet.
64 00:05:53,400 --> 00:05:58,400
Vad skulle du säga är den stora skillnaden mellan 2015 och 2016?
65 00:05:58,400 --> 00:06:03,400
Ja, i 2015 tog utslutningarna över kontrollen
66 00:06:03,400 --> 00:06:08,400
för tillgänglighet till arbetsplatsen som ansvarar för teknologisk process.
67 00:06:08,400 --> 00:06:14,400
Så 2015, under attacken på Precarpatio och Oblanergo,
68 00:06:14,400 --> 00:06:23,400
så tog avslutningarna över kontrollen för tillgänglighet till arbetsplatsen som ansvarar för teknologisk process.
69 00:06:23,400 --> 00:06:24,400
HMI?
70 00:06:24,400 --> 00:06:27,400
Ja, för tillgänglighet till arbetsplatsen som ansvarar för teknologisk process.
71 00:06:27,400 --> 00:06:32,400
HMI?
72 00:06:32,400 --> 00:06:36,400
Ja, för tillgänglighet till arbetsplatsen som ansvarar för teknologisk process.
73 00:06:36,400 --> 00:06:39,400
De healthcare-optimisterna.
74 00:06:39,400 --> 00:06:43,400
Ja, och också tanken with simple standards.
75 00:06:43,400 --> 00:06:49,400
Och då kan man verkligen här utsluta allt.
76 00:06:49,400 --> 00:06:53,400
Men det är klart Sarlag, kul att säga så,
77 00:06:53,400 --> 00:06:56,300
det är klart无вер
78 00:06:56,300 --> 00:07:00,300
att hGoods mappinger skulle vi utsluta över lukthusinstallering.
79 00:07:00,300 --> 00:07:01,520
Och Federal sellers Hotel ADA.
80 00:07:01,520 --> 00:07:02,400
Och så kunde man förmodligen了.
81 00:07:02,400 --> 00:07:13,400
Det var en mer komplicerad och höggradig process av intruering, skapande och manipulerande.
82 00:07:13,400 --> 00:07:23,400
Vi visade exempel på hur avståndarna fick feedback på deras aktioner.
83 00:07:23,400 --> 00:07:33,400
De hade alltså ingen möjlighet att se skärmen som de gjorde vid en prekarpatioblad nergoattack.
84 00:07:33,400 --> 00:07:47,400
Så utsläppen av deras aktioner skapades till filerna, och genom att ta fram filerna fick de veta resultatet av aktionerna.
85 00:07:47,400 --> 00:07:50,400
Det var en intressant teknik från den här sidan.
86 00:07:50,400 --> 00:07:52,400
Jag förstod det i din presentation.
87 00:07:52,400 --> 00:07:57,400
Det var som att hitta på Microsoft SQL-databasen i nätet.
88 00:07:57,400 --> 00:08:01,400
Som ett sätt att gå under radaren.
89 00:08:01,400 --> 00:08:06,400
Hur var det att ta fram det?
90 00:08:06,400 --> 00:08:09,400
Du måste ju komma in där på något sätt.
91 00:08:09,400 --> 00:08:16,400
Jag skulle säga att en databaserver, det kan vara en backup-server eller en Microsoft-manageringsserver,
92 00:08:16,400 --> 00:08:19,400
som till exempel en orkestration-server.
93 00:08:19,400 --> 00:08:22,400
De här personerna sitter på höggraden.
94 00:08:22,400 --> 00:08:28,400
Och genom att hitta på den här serveren kan du gärna ha tillgång till vilken vlan,
95 00:08:28,400 --> 00:08:32,400
vilken nätverkszon, för alla dessa zoner är utsläppta till serversegmenten.
96 00:08:32,400 --> 00:08:38,400
För servicerna, som en lösning till databasen eller att göra backup-operationer,
97 00:08:38,400 --> 00:08:43,400
så borde de här servicerna vara uppe och runnande hela tiden, i hela infrastrukturen.
98 00:08:43,400 --> 00:08:51,400
Så dessa servicer är de mest intressanta att hitta på avståndarna.
99 00:08:51,400 --> 00:08:55,400
De är intresserade av att hitta på dessa servicer.
100 00:08:55,400 --> 00:08:59,400
Och Ukrainergo var ett fint exempel på det.
101 00:08:59,400 --> 00:09:03,400
Men jag skulle säga, tillgängligt till den tidigare frågan,
102 00:09:03,400 --> 00:09:10,400
vad är det gemensamma mellan attacken på Ukrainergo och den tidigare attacken på Prikapat-Ukrainergo?
103 00:09:10,400 --> 00:09:15,400
För alla dessa attacker gjordes bara i cyberspråk.
104 00:09:15,400 --> 00:09:19,400
Så utan att ta hand om kinetiska områden,
105 00:09:19,400 --> 00:09:24,400
eller att de inte använde en slags candy drop,
106 00:09:24,400 --> 00:09:30,400
som en flash drive med infektade driver eller sådant,
107 00:09:30,400 --> 00:09:40,400
så från intrusionen till slut, var allt gjort via cyberspråk.
108 00:09:40,400 --> 00:09:44,400
Men de var båda påverkade av C&C-servern,
109 00:09:44,400 --> 00:09:49,400
så ni hade någon slags förhållande som faktiskt var påverkande av kampanjen,
110 00:09:49,400 --> 00:09:51,400
kan man säga.
111 00:09:51,400 --> 00:09:56,400
Så vad är nästa steg, den 2017-attacken?
112 00:09:56,400 --> 00:10:00,400
Vad är nästa logiska…
113 00:10:00,400 --> 00:10:05,400
De har nått en ganska hög nivå av intryck,
114 00:10:05,400 --> 00:10:08,400
på varje av etaperna av intryck,
115 00:10:08,400 --> 00:10:10,400
intryck till organisationen,
116 00:10:10,400 --> 00:10:13,400
intryck till agenter,
117 00:10:13,400 --> 00:10:14,400
och så vidare.
118 00:10:14,400 --> 00:10:17,400
De har nått en hög nivå.
119 00:10:17,400 --> 00:10:18,400
Så använderna,
120 00:10:18,400 --> 00:10:25,400
de har nått den högsta nivån av intryck,
121 00:10:25,400 --> 00:10:27,400
av uppföljning,
122 00:10:27,400 --> 00:10:32,400
så de har nått en hög nivå av intryck på den nivån.
123 00:10:32,400 --> 00:10:36,400
Och Ukraina, använder sig som poligon,
124 00:10:36,400 --> 00:10:40,400
har möjlighet att utveckla tekniker och instrument
125 00:10:40,400 --> 00:10:43,400
för att kunna gå vidare till mer aktivt arbete,
126 00:10:43,400 --> 00:10:46,400
till exempel att attackera infrastruktur utanför Ukraina,
127 00:10:46,400 --> 00:10:49,400
alltså i Europa, Amerika…
128 00:10:49,400 --> 00:10:53,400
Så använder man Ukraina som testplats,
129 00:10:53,400 --> 00:10:55,400
så använder man Ukraina som testplats,
130 00:10:55,400 --> 00:10:59,400
för att kunna utnyttja sin område av attackering,
131 00:10:59,400 --> 00:11:04,400
för att kunna utnyttja sin område av attackering,
132 00:11:04,400 --> 00:11:06,400
och för vår tro,
133 00:11:06,400 --> 00:11:09,400
så är de nu redo att attackera
134 00:11:09,400 --> 00:11:13,400
kanske europeiska eller USA-organisationer,
135 00:11:13,400 --> 00:11:15,400
vilket…
136 00:11:15,400 --> 00:11:18,400
men de gör det inte så tydligt som i Ukraina.
137 00:11:18,400 --> 00:11:21,400
I Ukraina var det en demonstration för kunderna,
138 00:11:21,400 --> 00:11:23,400
för deltagarna,
139 00:11:23,400 --> 00:11:25,400
och i princip för hela världen.
140 00:11:25,400 --> 00:11:29,400
Där kan man göra det så att det var stort och visst.
141 00:11:29,400 --> 00:11:31,400
Så dessa organisationer i världen,
142 00:11:31,400 --> 00:11:34,400
under europeiska regler eller i USA,
143 00:11:34,400 --> 00:11:37,400
att attackera dem,
144 00:11:37,400 --> 00:11:39,400
borde vara mer stälsigt.
145 00:11:39,400 --> 00:11:42,400
I Ukraina visade de sig
146 00:11:42,400 --> 00:11:44,400
att de lyckas,
147 00:11:44,400 --> 00:11:48,400
att de lyckas attackera kritisk infrastruktur,
148 00:11:48,400 --> 00:11:52,400
så de behöver inte verkligen visa
149 00:11:52,400 --> 00:11:56,400
deras resultat någonstans i USA eller Europa,
150 00:11:56,400 --> 00:12:01,400
så de kommer att agera i ett väldigt stälsigt regim.
151 00:12:01,400 --> 00:12:04,400
Men som du sa,
152 00:12:04,400 --> 00:12:08,400
är Ukraina då ett bra mål att utveckla?
153 00:12:08,400 --> 00:12:10,400
Ja, för vi är inte i NATO,
154 00:12:10,400 --> 00:12:12,400
vi är inte i USA,
155 00:12:12,400 --> 00:12:15,400
vi är inte i EU eller något sånt.
156 00:12:15,400 --> 00:12:19,400
Så Ukraina är ett område som
157 00:12:19,400 --> 00:12:22,400
man kan spela med just nu.
158 00:12:22,400 --> 00:12:25,400
Det finns inga reaktioner,
159 00:12:25,400 --> 00:12:27,400
de reaktioner från regeringen
160 00:12:27,400 --> 00:12:30,400
skulle inte vara så
161 00:12:30,400 --> 00:12:33,400
låt oss säga
162 00:12:33,400 --> 00:12:36,400
så effektiva som det
163 00:12:36,400 --> 00:12:38,400
skulle vara i Europa eller i USA.
164 00:12:38,400 --> 00:12:40,400
Så är det bara en grupp som startar det,
165 00:12:40,400 --> 00:12:41,400
eller ser du det från andra perspektivet?
166 00:12:42,400 --> 00:12:45,400
Ja, det finns flera grupper som startar det.
167 00:12:49,400 --> 00:12:52,400
Något som jag vill tillägga till din tidigare fråga
168 00:12:52,400 --> 00:12:54,400
om vad vi borde vara redo för
169 00:12:54,400 --> 00:12:56,400
och vad vi borde vara förberedda för
170 00:12:56,400 --> 00:12:59,400
att se 2017?
171 00:13:09,400 --> 00:13:11,400
Ja, så vi måste tänka på
172 00:13:11,400 --> 00:13:14,400
att förändringarna
173 00:13:14,400 --> 00:13:16,400
kan redan
174 00:13:16,400 --> 00:13:18,400
att de har
175 00:13:18,400 --> 00:13:20,400
redan blivit introderade
176 00:13:20,400 --> 00:13:22,400
till organisationer
177 00:13:22,400 --> 00:13:23,400
utanför Ukraina,
178 00:13:23,400 --> 00:13:25,400
kanske i Europa eller i USA.
179 00:13:25,400 --> 00:13:27,400
Så det verkar möjligt
180 00:13:27,400 --> 00:13:29,400
att nästa år, slutet av det här året
181 00:13:29,400 --> 00:13:30,400
och nästa år
182 00:13:30,400 --> 00:13:32,400
kommer att vara en dag
183 00:13:32,400 --> 00:13:34,400
när vi kommer tillbaka
184 00:13:34,400 --> 00:13:36,400
och vi kommer tillbaka till
185 00:13:36,400 --> 00:13:38,400
en ny organisation i Europa.
186 00:13:38,400 --> 00:13:39,400
Så det verkar möjligt att nästa år,
187 00:13:39,400 --> 00:13:40,400
nästa år
188 00:13:40,400 --> 00:13:42,400
kommer att vara dedikerad till
189 00:13:42,400 --> 00:13:43,400
att
190 00:13:43,400 --> 00:13:44,400
till
191 00:13:44,400 --> 00:13:45,400
att
192 00:13:45,400 --> 00:13:46,400
förändras
193 00:13:46,400 --> 00:13:47,400
inte bara i Ukraina.
194 00:13:47,400 --> 00:13:48,400
Så vi borde förbereda
195 00:13:48,400 --> 00:13:50,400
resten av världen också?
196 00:13:50,400 --> 00:13:51,400
Ja, det är det.
197 00:13:51,400 --> 00:13:52,400
Ukraina
198 00:13:52,400 --> 00:13:53,400
definitivt
199 00:13:53,400 --> 00:13:54,400
du måste
200 00:13:54,400 --> 00:13:55,400
du måste
201 00:13:55,400 --> 00:13:56,400
berätta
202 00:13:56,400 --> 00:13:57,400
till Ukrains erfarenhet
203 00:13:57,400 --> 00:13:58,400
och
204 00:13:58,400 --> 00:13:59,400
att vara redo
205 00:13:59,400 --> 00:14:00,400
för
206 00:14:00,400 --> 00:14:01,400
för
207 00:14:01,400 --> 00:14:02,400
organiserade cyberkriminaliteter
208 00:14:02,400 --> 00:14:03,400
till exempel.
209 00:14:03,400 --> 00:14:04,400
Ukrains organisationer
210 00:14:04,400 --> 00:14:05,400
är inte så
211 00:14:06,400 --> 00:14:07,400
inte tillräckligt rika
212 00:14:07,400 --> 00:14:08,400
och
213 00:14:08,400 --> 00:14:09,400
infrastrukturerna
214 00:14:09,400 --> 00:14:10,400
de är
215 00:14:10,400 --> 00:14:12,400
de IT-infrastrukturerna
216 00:14:12,400 --> 00:14:13,400
mindre
217 00:14:13,400 --> 00:14:14,400
de är mindre
218 00:14:14,400 --> 00:14:15,400
än i Europa
219 00:14:15,400 --> 00:14:16,400
till exempel.
220 00:14:16,400 --> 00:14:17,400
Så det borde vara
221 00:14:17,400 --> 00:14:18,400
en läsning
222 00:14:18,400 --> 00:14:19,400
och
223 00:14:19,400 --> 00:14:20,400
Europa borde vara
224 00:14:20,400 --> 00:14:21,400
förberedd
225 00:14:21,400 --> 00:14:22,400
definitivt.
226 00:14:22,400 --> 00:14:23,400
Vad
227 00:14:23,400 --> 00:14:24,400
om du
228 00:14:24,400 --> 00:14:25,400
var
229 00:14:25,400 --> 00:14:26,400
operatör
230 00:14:26,400 --> 00:14:27,400
på
231 00:14:27,400 --> 00:14:28,400
Ukraina
232 00:14:28,400 --> 00:14:29,400
vad
233 00:14:29,400 --> 00:14:30,400
hade du gjort
234 00:14:30,400 --> 00:14:31,400
annorlunda
235 00:14:31,400 --> 00:14:32,400
om du
236 00:14:32,400 --> 00:14:33,400
hade kunnat
237 00:14:33,400 --> 00:14:34,400
vad du vet nu?
238 00:14:34,400 --> 00:14:35,400
Vad borde de ha gjort?
239 00:14:35,400 --> 00:14:36,400
För operatören
240 00:14:36,400 --> 00:14:37,400
är det för tidigt.
241 00:14:37,400 --> 00:14:38,400
När operatören
242 00:14:38,400 --> 00:14:39,400
visade sig
243 00:14:39,400 --> 00:14:40,400
så förstod de
244 00:14:40,400 --> 00:14:41,400
att de
245 00:14:41,400 --> 00:14:42,400
nu
246 00:14:42,400 --> 00:14:43,400
kommer att
247 00:14:43,400 --> 00:14:44,400
noteras.
248 00:14:44,400 --> 00:14:45,400
Och
249 00:14:45,400 --> 00:14:46,400
de visade sig
250 00:14:46,400 --> 00:14:47,400
bara efter
251 00:14:47,400 --> 00:14:48,400
att de
252 00:14:48,400 --> 00:14:49,400
fixerade sin
253 00:14:49,400 --> 00:14:50,400
tillgänglighet
254 00:14:50,400 --> 00:14:51,400
i infrastrukturen
255 00:14:51,400 --> 00:14:52,400
så de
256 00:14:52,400 --> 00:14:53,400
använde
257 00:14:53,400 --> 00:14:54,400
sig av
258 00:14:54,400 --> 00:14:55,400
infrastrukturen
259 00:14:55,400 --> 00:14:56,400
med
260 00:14:56,400 --> 00:14:57,400
att
261 00:14:57,400 --> 00:14:58,400
installera
262 00:14:58,400 --> 00:14:59,400
sleeper-agenter
263 00:14:59,400 --> 00:15:00,400
och
264 00:15:00,400 --> 00:15:01,400
ha
265 00:15:01,400 --> 00:15:02,400
hela
266 00:15:02,400 --> 00:15:03,400
deras
267 00:15:03,400 --> 00:15:04,400
databas
268 00:15:04,400 --> 00:15:05,400
och
269 00:15:05,400 --> 00:15:06,400
kommunikation
270 00:15:06,400 --> 00:15:07,400
och
271 00:15:07,400 --> 00:15:08,400
alla andra
272 00:15:08,400 --> 00:15:09,400
så när
273 00:15:09,400 --> 00:15:10,400
operatören
274 00:15:10,400 --> 00:15:11,400
när operatören
275 00:15:11,400 --> 00:15:12,400
noterade
276 00:15:12,400 --> 00:15:13,400
den här
277 00:15:13,400 --> 00:15:14,400
aktionen
278 00:15:14,400 --> 00:15:15,400
så är det
279 00:15:15,400 --> 00:15:16,400
definitivt
280 00:15:16,400 --> 00:15:17,400
för tidigt.
281 00:15:17,400 --> 00:15:18,400
Jag vet inte
282 00:15:18,400 --> 00:15:19,400
vad den effektiva
283 00:15:19,400 --> 00:15:20,400
aktionen
284 00:15:20,400 --> 00:15:21,400
borde vara
285 00:15:21,400 --> 00:15:22,400
reaktionen
286 00:15:22,400 --> 00:15:23,400
för det är för
287 00:15:23,400 --> 00:15:24,400
tidigt
288 00:15:24,400 --> 00:15:25,400
och
289 00:15:25,400 --> 00:15:26,400
när vi
290 00:15:26,400 --> 00:15:27,400
tittar
291 00:15:27,400 --> 00:15:28,400
på
292 00:15:28,400 --> 00:15:29,400
Pita
293 00:15:29,400 --> 00:15:30,400
Cleaner
294 00:15:30,400 --> 00:15:31,400
så var
295 00:15:31,400 --> 00:15:32,400
den
296 00:15:32,400 --> 00:15:33,400
sista
297 00:15:33,400 --> 00:15:34,400
sida
298 00:15:34,400 --> 00:15:35,400
och vi
299 00:15:35,400 --> 00:15:36,400
tittade
300 00:15:36,400 --> 00:15:37,400
på
301 00:15:37,400 --> 00:15:38,400
att
302 00:15:38,400 --> 00:15:39,400
det
303 00:15:39,400 --> 00:15:40,400
var
304 00:15:40,400 --> 00:15:41,400
en
305 00:15:41,400 --> 00:15:42,400
av
306 00:15:42,400 --> 00:15:43,400
de
307 00:15:43,400 --> 00:15:44,400
största
308 00:15:44,400 --> 00:15:45,400
organisationer
309 00:15:45,400 --> 00:15:46,400
i
310 00:15:46,400 --> 00:15:47,400
Ukraina
311 00:15:47,400 --> 00:15:48,400
som
312 00:15:48,400 --> 00:15:49,400
var
313 00:15:49,400 --> 00:15:50,400
helt
314 00:15:50,400 --> 00:15:51,400
förstörd
315 00:15:51,400 --> 00:15:52,400
inom
316 00:15:52,400 --> 00:15:53,400
16
317 00:15:53,400 --> 00:15:54,400
sekunder
318 00:15:54,400 --> 00:15:55,400
men det
319 00:15:55,400 --> 00:15:56,400
var
320 00:15:56,400 --> 00:15:57,400
penetrerat
321 00:15:57,400 --> 00:15:58,400
före
322 00:15:58,400 --> 00:15:59,400
intrusionerna
323 00:15:59,400 --> 00:16:00,400
de
324 00:16:00,400 --> 00:16:01,400
har
325 00:16:01,400 --> 00:16:02,400
kredentialer
326 00:16:02,400 --> 00:16:03,400
så de
327 00:16:03,400 --> 00:16:04,400
behöver bara
328 00:16:04,400 --> 00:16:05,400
starta
329 00:16:05,400 --> 00:16:06,400
som
330 00:16:06,400 --> 00:16:07,400
vill inte
331 00:16:07,400 --> 00:16:08,400
stänga
332 00:16:08,400 --> 00:16:09,400
upp
333 00:16:09,400 --> 00:16:10,400
inga
334 00:16:10,400 --> 00:16:11,400
exempel
335 00:16:11,400 --> 00:16:12,400
där
336 00:16:12,400 --> 00:16:13,400
och
337 00:16:13,400 --> 00:16:14,400
jag
338 00:16:14,400 --> 00:16:15,400
vill
339 00:16:15,400 --> 00:16:16,400
att
340 00:16:16,400 --> 00:16:17,400
det
341 00:16:17,400 --> 00:16:18,400
är
342 00:16:18,400 --> 00:16:19,400
så
343 00:16:19,400 --> 00:16:20,400
där
344 00:16:20,400 --> 00:16:21,400
och
345 00:16:21,400 --> 00:16:22,400
det
346 00:16:22,400 --> 00:16:23,400
är
347 00:16:23,400 --> 00:16:24,400
så
348 00:16:24,400 --> 00:16:25,400
där
349 00:16:25,400 --> 00:16:26,400
och
350 00:16:26,400 --> 00:16:27,400
det
351 00:16:27,400 --> 00:16:28,400
är
352 00:16:28,400 --> 00:16:29,400
så
353 00:16:29,400 --> 00:16:30,400
där
354 00:16:30,400 --> 00:16:31,400
och
355 00:16:31,400 --> 00:16:32,400
det
356 00:16:32,400 --> 00:16:33,400
är
357 00:16:33,400 --> 00:16:34,400
så
358 00:16:34,400 --> 00:16:36,020
stannar
359 00:16:36,020 --> 00:16:36,720
lite
360 00:16:36,720 --> 00:16:37,840
önskan
361 00:16:37,840 --> 00:16:54,900
ut
362 00:16:54,900 --> 00:16:59,900
mig
363 00:16:59,900 --> 00:17:02,400
ju
364 00:17:02,400 --> 00:17:03,280
passar
365 00:17:03,280 --> 00:17:04,300
oss
366 00:17:04,300 --> 00:17:15,300
Notepad, som innehåller Backdoor, kan vara aktiverad med alla textfiler som går genom alla säkerhetsmedel.
367 00:17:15,300 --> 00:17:17,300
Antivirus, antispam, firewall…
368 00:17:17,300 --> 00:17:25,300
Triggern för att aktivera Backdoor är det enkla textfilen,
369 00:17:25,300 --> 00:17:34,300
som går genom alla säkerhetsmedel som antispam, antivirus…
370 00:17:34,300 --> 00:17:38,300
Det är väldigt enkelt och har inget makro.
371 00:17:38,300 --> 00:17:44,300
Det är bara för att aktivera Backdoor, som är infektad.
372 00:17:44,300 --> 00:17:50,300
Det var inte så snabbt, för bara för att göra attacker
373 00:17:50,300 --> 00:17:53,300
var det enkla medarbetare som höll upp kommunikationen på den sidan.
374 00:17:53,300 --> 00:17:55,300
Precis under attackerappar.
375 00:17:55,300 --> 00:17:58,300
Och framförallt, även om Notepad startades,
376 00:17:58,300 --> 00:18:01,300
han försökte kommunicera med serveren,
377 00:18:01,300 --> 00:18:03,300
men serveren var inte tillgänglig.
378 00:18:03,300 --> 00:18:05,300
Då jobbade han i vanligt Notepad-regime.
379 00:18:05,300 --> 00:18:07,300
Men när hackare var redo att attackera,
380 00:18:07,300 --> 00:18:09,300
så höll de upp serveren.
381 00:18:09,300 --> 00:18:11,300
Det var ett ögonblick i en dag.
382 00:18:11,300 --> 00:18:15,300
Och då kom textfilen och initierade kommunikationen.
383 00:18:15,300 --> 00:18:17,300
Det var inte så enkelt.
384 00:18:17,300 --> 00:18:23,300
Ja, det var ganska svårt att identifiera C&C.
385 00:18:23,300 --> 00:18:25,300
Eftersom…
386 00:18:25,300 --> 00:18:29,300
C&C inte opererade på en daglig basis.
387 00:18:29,300 --> 00:18:33,300
Det opererade bara under en tid
388 00:18:33,300 --> 00:18:37,300
när kvinnorna ville gå in i infrastrukturen.
389 00:18:37,300 --> 00:18:41,300
Så hela tiden Notepad var aktiverad
390 00:18:41,300 --> 00:18:43,300
försökte den initiera sessionen,
391 00:18:43,300 --> 00:18:45,300
men serveren var ner.
392 00:18:45,300 --> 00:18:49,300
Så Notepad fortsatte att fungera som en vanlig applikation.
393 00:18:49,300 --> 00:18:53,300
Men när serveren var upp och running
394 00:18:53,300 --> 00:18:57,300
så stannade alla Notepads och
395 00:18:57,300 --> 00:18:59,300
installerade en kommunikationslänk
396 00:18:59,300 --> 00:19:01,300
som kunde användas av kvinnorna
397 00:19:01,300 --> 00:19:03,300
för att gå in i infrastrukturen.
398 00:19:03,300 --> 00:19:05,300
Så det fanns ingen behov
399 00:19:05,300 --> 00:19:07,300
för någon att
400 00:19:07,300 --> 00:19:09,300
förbättra makros i Word eller Excel?
401 00:19:09,300 --> 00:19:11,300
Det var bara en vanlig textfilen
402 00:19:11,300 --> 00:19:13,300
som du skickade till en ingenjör?
403 00:19:13,300 --> 00:19:15,300
Ja. Slipper-agentens mission
404 00:19:15,300 --> 00:19:17,300
var att göra kvinnorna
405 00:19:17,300 --> 00:19:21,300
tillbaka till infrastrukturen
406 00:19:21,300 --> 00:19:23,300
och det var den lättaste sättet
407 00:19:23,300 --> 00:19:25,300
att inte förbättra
408 00:19:25,300 --> 00:19:27,300
infrastrukturen igen
409 00:19:27,300 --> 00:19:29,300
genom att använda
410 00:19:29,300 --> 00:19:31,300
fler komplicerade tekniker
411 00:19:31,300 --> 00:19:33,300
och fler komplicerade verktyg
412 00:19:33,300 --> 00:19:37,300
kanske makros eller droppar och så vidare.
413 00:19:37,300 --> 00:19:39,300
Det var bara ett exempel
414 00:19:39,300 --> 00:19:41,300
det var ganska enkelt
415 00:19:41,300 --> 00:19:43,300
det modificerade Notepad.
416 00:19:43,300 --> 00:19:45,300
Vi har mycket fler exempel
417 00:19:45,300 --> 00:19:47,300
och under paneldiskussionen
418 00:19:47,300 --> 00:19:49,300
The talk, DOC
419 00:19:49,300 --> 00:19:51,300
vi pratade om
420 00:19:51,300 --> 00:19:53,300
ett annat exempel
421 00:19:53,300 --> 00:19:55,300
det är som att modifiera
422 00:19:55,300 --> 00:19:57,300
att registrera DOC
423 00:19:57,300 --> 00:19:59,300
för filerna
424 00:19:59,300 --> 00:20:01,300
men letter O är från Cyrillic
425 00:20:01,300 --> 00:20:03,300
inte engelska
426 00:20:03,300 --> 00:20:05,300
så för systemet är det
427 00:20:05,300 --> 00:20:07,300
inte DOC
428 00:20:07,300 --> 00:20:09,300
så det är en annan extension
429 00:20:09,300 --> 00:20:11,300
och du kan placera i registrerad fil
430 00:20:11,300 --> 00:20:13,300
den default handlaren
431 00:20:13,300 --> 00:20:15,300
för den här applikationen
432 00:20:15,300 --> 00:20:17,300
och den triggern
433 00:20:17,300 --> 00:20:19,300
skulle vara den här DOC-filen
434 00:20:19,300 --> 00:20:21,300
som är Cyrillic O
435 00:20:21,300 --> 00:20:23,300
och den här filen kan också vara
436 00:20:23,300 --> 00:20:25,300
en väldigt enkel
437 00:20:25,300 --> 00:20:27,300
som TXT
438 00:20:27,300 --> 00:20:29,300
eller något som definitivt ska
439 00:20:29,300 --> 00:20:31,300
gå igenom alla säkerhetsmöjligheter
440 00:20:31,300 --> 00:20:33,300
och trigga malwaren
441 00:20:33,300 --> 00:20:35,300
vilket också kan trigga Microsoft Word
442 00:20:35,300 --> 00:20:37,300
för användare
443 00:20:37,300 --> 00:20:39,300
att inte uppdatera sig
444 00:20:39,300 --> 00:20:41,300
men det är bara malware
445 00:20:41,300 --> 00:20:43,300
Så det här är ganska skrämmande
446 00:20:43,300 --> 00:20:45,300
Ja, de är väldigt skrämmande
447 00:20:45,300 --> 00:20:47,300
Ja, de är väldigt skrämmande
448 00:20:47,300 --> 00:20:49,300
Ja, de är väldigt skrämmande
449 00:20:49,300 --> 00:20:51,300
Ja, vi har en separat
450 00:20:51,300 --> 00:20:53,300
presentation och
451 00:20:53,300 --> 00:20:55,300
en lektion
452 00:20:55,300 --> 00:20:57,300
för släpparagenter
453 00:20:57,300 --> 00:20:59,300
för intrusionfaser
454 00:20:59,300 --> 00:21:01,300
och bara för att säga
455 00:21:01,300 --> 00:21:03,300
att en vanlig sak
456 00:21:03,300 --> 00:21:05,300
är att de är väldigt skiljade
457 00:21:05,300 --> 00:21:07,300
och de har
458 00:21:07,300 --> 00:21:09,300
väldigt
459 00:21:09,300 --> 00:21:11,300
elegant och bra
460 00:21:11,300 --> 00:21:13,300
designmöjligheter
461 00:21:13,300 --> 00:21:15,300
för att göra attacker
462 00:21:15,300 --> 00:21:17,300
det är väldigt enkelt
463 00:21:17,300 --> 00:21:19,300
men det är bra design
464 00:21:19,300 --> 00:21:21,300
vissa av deras tekniker
465 00:21:21,300 --> 00:21:23,300
är verkligen fantastiska
466 00:21:23,300 --> 00:21:25,300
Så i panelen
467 00:21:25,300 --> 00:21:27,300
hade du en kommentar
468 00:21:27,300 --> 00:21:29,300
om isolering
469 00:21:29,300 --> 00:21:31,300
Ja
470 00:21:31,300 --> 00:21:33,300
Så kan du ta upp det igen
471 00:21:33,300 --> 00:21:35,300
Det är oxymoron
472 00:21:35,300 --> 00:21:37,300
Ja, oxymoron
473 00:21:37,300 --> 00:21:39,300
Ja, om isolering
474 00:21:39,300 --> 00:21:41,300
det är främst ur
475 00:21:41,300 --> 00:21:43,300
Ukrainsk erfarenhet
476 00:21:43,300 --> 00:21:45,300
eftersom
477 00:21:45,300 --> 00:21:47,300
man måste följa vissa standarder
478 00:21:47,300 --> 00:21:49,300
som utvecklades
479 00:21:49,300 --> 00:21:51,300
1975
480 00:21:51,300 --> 00:21:53,300
eller 1979
481 00:21:53,300 --> 00:21:55,300
väldigt
482 00:21:55,300 --> 00:21:57,300
gammalt
483 00:21:57,300 --> 00:21:59,300
och de bestämde att vissa
484 00:21:59,300 --> 00:22:01,300
nätverk
485 00:22:01,300 --> 00:22:03,300
som hostar
486 00:22:03,300 --> 00:22:05,300
regeringsinformation
487 00:22:05,300 --> 00:22:07,300
de borde
488 00:22:07,300 --> 00:22:09,300
isoleras
489 00:22:09,300 --> 00:22:11,300
de borde
490 00:22:11,300 --> 00:22:13,300
försvara
491 00:22:13,300 --> 00:22:15,300
elektroniska
492 00:22:15,300 --> 00:22:17,300
nätverk
493 00:22:17,300 --> 00:22:19,300
Ja, Tempest
494 00:22:19,300 --> 00:22:21,300
men
495 00:22:21,300 --> 00:22:23,300
och all den här isoleringen
496 00:22:23,300 --> 00:22:25,300
det fungerar inte
497 00:22:25,300 --> 00:22:27,300
för om du inte kan implementera
498 00:22:27,300 --> 00:22:29,300
monitorering
499 00:22:29,300 --> 00:22:31,300
på det objektet
500 00:22:31,300 --> 00:22:33,300
som du ska säkra mot
501 00:22:33,300 --> 00:22:35,300
cyberskydd
502 00:22:35,300 --> 00:22:37,300
så kan du ställa att
503 00:22:37,300 --> 00:22:39,300
det här objektet
504 00:22:39,300 --> 00:22:41,300
är isolerat från min syn
505 00:22:41,300 --> 00:22:43,300
men hur kan du ställa
506 00:22:43,300 --> 00:22:45,300
att det är isolerat från
507 00:22:45,300 --> 00:22:47,300
föräldrarna
508 00:22:47,300 --> 00:22:49,300
för att kanske det har en länk
509 00:22:49,300 --> 00:22:51,300
för en specifik service som
510 00:22:51,300 --> 00:22:53,300
backup till exempel
511 00:22:53,300 --> 00:22:55,300
eller administration
512 00:22:55,300 --> 00:22:57,300
där de för någon
513 00:22:57,300 --> 00:22:59,300
specifik skäl
514 00:22:59,300 --> 00:23:01,300
länkade till nätverk
515 00:23:01,300 --> 00:23:03,300
och glömde att
516 00:23:03,300 --> 00:23:05,300
avslöja dem
517 00:23:05,300 --> 00:23:07,300
eller jag vet inte
518 00:23:07,300 --> 00:23:09,300
nu med USB stickar
519 00:23:09,300 --> 00:23:11,300
med modem, GSM modem
520 00:23:11,300 --> 00:23:13,300
3G, 4G modem
521 00:23:13,300 --> 00:23:15,300
det finns ingen isolering
522 00:23:15,300 --> 00:23:17,300
det fungerar inte
523 00:23:17,300 --> 00:23:19,300
så du måste patcha system
524 00:23:19,300 --> 00:23:21,300
du måste tillverka
525 00:23:21,300 --> 00:23:23,300
hållbarhet och backup
526 00:23:23,300 --> 00:23:25,300
det fungerar inte
527 00:23:25,300 --> 00:23:27,300
så du kan plugga in data
528 00:23:27,300 --> 00:23:29,300
men du måste definitivt
529 00:23:29,300 --> 00:23:31,300
monitorera de här nätverken
530 00:23:31,300 --> 00:23:33,300
Så utan att monitorera
531 00:23:33,300 --> 00:23:35,300
så skulle du ha en katt
532 00:23:35,300 --> 00:23:37,300
som du sa
533 00:23:37,300 --> 00:23:39,300
absolut
534 00:23:39,300 --> 00:23:41,300
du vet inte om du är effektiv
535 00:23:41,300 --> 00:23:43,300
Ja, vi kan bara tänka
536 00:23:43,300 --> 00:23:45,300
om du är livlig eller kompromissad
537 00:23:45,300 --> 00:23:47,300
eller inte
538 00:23:47,300 --> 00:23:49,300
jag vet inte
539 00:23:49,300 --> 00:23:51,300
jag kan inte se, jag kan inte se
540 00:23:51,300 --> 00:23:53,300
jag kan inte stanna där
541 00:23:53,300 --> 00:23:55,300
så det är regler för några
542 00:23:55,300 --> 00:23:57,300
Okej, var du personligen
543 00:23:57,300 --> 00:23:59,300
påverkad av mörkret
544 00:23:59,300 --> 00:24:01,300
som skedde i Ukraina de senaste åren?
545 00:24:01,300 --> 00:24:03,300
nej, nej
546 00:24:03,300 --> 00:24:05,300
av Peter eller
547 00:24:05,300 --> 00:24:07,300
som rådgivare
548 00:24:07,300 --> 00:24:09,300
vi kände det, Alexej till exempel
549 00:24:09,300 --> 00:24:11,300
han stoppade
550 00:24:11,300 --> 00:24:13,300
han såg en film
551 00:24:13,300 --> 00:24:15,300
när Ukraina
552 00:24:15,300 --> 00:24:17,300
jag menar när Ukraina
553 00:24:17,300 --> 00:24:19,300
blev attackerad
554 00:24:19,300 --> 00:24:21,300
och han kallade det
555 00:24:21,300 --> 00:24:23,300
för inte hela Kiev
556 00:24:23,300 --> 00:24:25,300
men bara några områden
557 00:24:25,300 --> 00:24:27,300
var ut
558 00:24:27,300 --> 00:24:29,300
och kände utfallet
559 00:24:29,300 --> 00:24:31,300
och Alexej var exakt i området
560 00:24:31,300 --> 00:24:33,300
som skadades av
561 00:24:33,300 --> 00:24:35,300
energiförbrukaren
562 00:24:35,300 --> 00:24:37,300
och ja så
563 00:24:37,300 --> 00:24:39,300
om det är möjligt att skjuta
564 00:24:39,300 --> 00:24:41,300
men ja jag Sinろ
565 00:24:41,300 --> 00:25:01,260
har Além
566 00:25:01,260 --> 00:25:03,300
det
567 00:25:03,300 --> 00:25:04,980
är
568 00:25:04,980 --> 00:25:06,980
det
569 00:25:06,980 --> 00:25:08,180
det
570 00:25:08,180 --> 00:25:09,120
det
571 00:25:09,120 --> 00:25:09,160
sand
572 00:25:09,160 --> 00:25:09,180
Sten
573 00:25:09,180 --> 00:25:09,280
Sten
574 00:25:09,280 --> 00:25:11,280
Tack så mycket!
575 00:25:11,280 --> 00:25:13,280
Var säker!
576 00:25:13,280 --> 00:25:15,280
Tack, hej då!